Decizia 18/11-oct-2023 de stabilire a normelor interne referitoare la restricţionarea anumitor drepturi ale persoanelor vizate în ceea ce priveşte prelucrarea datelor cu caracter personal în cadrul funcţionării întreprinderii comune ''Reţele şi servicii inteligente'' [2023/2511]
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 14 Noiembrie 2023
Decizia 18/11-oct-2023 de stabilire a normelor interne referitoare la restricţionarea anumitor drepturi ale persoanelor vizate în ceea ce priveşte prelucrarea datelor cu caracter personal în cadrul funcţionării întreprinderii comune ''Reţele şi servicii inteligente'' [2023/2511]
Dată act: 11-oct-2023
Emitent: Consiliul de Conducere al Intreprinderii Comune Retele si Servicii Inteligente
CONSILIUL DE CONDUCERE,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (1) ["Regulamentul (UE) 2018/1725"], în special articolul 25,
(1)JO L 295, 21.11.2018, p. 39.
având în vedere Regulamentul (UE) 2021/2085 al Consiliului din 19 noiembrie 2021 de instituire a întreprinderilor comune din cadrul programului Orizont Europa şi de abrogare a Regulamentelor (CE) nr. 219/2007, (UE) nr. 557/2014, (UE) nr. 558/2014, (UE) nr. 559/2014, (UE) nr. 560/2014, (UE) nr. 561/2014 şi (UE) nr. 642/2014 (2) (denumit în continuare "Regulamentul de înfiinţare"), în special a întreprinderii comune "Reţele şi servicii inteligente" (Smart Networks and Services Joint Undertaking - SNS JU) (denumită în continuare "întreprinderea comună SNS"),
(2)JO L 427, 30.11.2021, p. 17.
având în vedere Orientările Autorităţii Europene pentru Protecţia Datelor ("AEPD") cu privire la articolul 25 din Regulamentul (UE) 2018/1725 şi normele interne din 24 iunie 2020 (3),
(3)Disponibile aici: Orientări cu privire la articolul 25 din Regulamentul (UE) 2018/1725 |Autoritatea Europeană pentru Protecţia Datelor (europa.eu)
în urma consultării AEPD la 13 iunie 2023, în conformitate cu articolul 41 alineatul (2) din Regulamentul (UE) 2018/1725,
având în vedere recomandările AEPD din 19 iunie 2023,
după informarea personalului întreprinderii comune SNS,
întrucât:
(1)Numai actele juridice adoptate în temeiul tratatelor pot prevedea restricţionarea drepturilor persoanelor vizate. În cazul în care aceste restricţii nu se pot baza pe acte juridice adoptate în temeiul tratatelor, Regulamentul (UE) 2018/1725 prevede că, în ceea ce priveşte aspectele legate de operaţiunile întreprinderii comune SNS, restricţiile pot fi impuse prin norme interne, în urma evaluării necesităţii şi proporţionalităţii acestor restricţii.
(2)În conformitate cu articolul 25 alineatul (1) din Regulamentul (UE) 2018/1725, restricţionarea aplicării articolelor 14-22, 35 şi 36, precum şi a articolului 4 din regulamentul respectiv, în măsura în care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevăzute la articolele 14-20, ar trebui să se bazeze pe normele interne care urmează să fie adoptate de întreprinderea comună SNS.
(3)În cadrul funcţionării sale administrative, întreprinderea comună SNS poate desfăşura anchete administrative, proceduri disciplinare, activităţi preliminare privind cazuri de eventuale nereguli raportate la OLAF, poate prelucra cazuri de avertizare în interes public, proceduri (oficiale şi neoficiale) de hărţuire, poate trata plângeri interne şi externe, poate desfăşura audituri interne, investigaţii prin responsabilul cu protecţia datelor ("AEPD"), conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725, precum şi investigaţii interne de securitate (IT) tratate intern sau cu implicarea unor părţi externe (de exemplu CERT-UE).
(4)De asemenea, întreprinderea comună SNS poate efectua investigaţii cu privire la posibile încălcări ale normelor de securitate pentru informaţiile UE clasificate ("IUEC"), pe baza deciziei pe care intenţionează să o adopte cu privire la normele de securitate pentru protecţia IUEC.
(5)În contextul acestor anchete administrative, audituri şi investigaţii, întreprinderea comună SNS cooperează cu alte instituţii, organe, oficii şi agenţii ale Uniunii.
(6)Întreprinderea comună SNS poate coopera cu autorităţile naţionale din ţări terţe şi cu organizaţii internaţionale, la cererea lor sau din proprie iniţiativă.
(7)Întreprinderea comună SNS poate coopera şi cu autorităţile publice ale statelor membre ale UE, la cererea lor sau din proprie iniţiativă.
(8)Întreprinderea comună SNS este implicată în cauzele prezentate în faţa Curţii de Justiţie a Uniunii Europene în cazul în care fie sesizează Curtea, fie apără o decizie pe care a luat-o şi care a fost contestată în faţa Curţii, fie intervine în cauze care sunt de competenţa sa. În acest context, întreprinderea comună SNS ar putea fi nevoită să păstreze confidenţialitatea datelor cu caracter personal existente în documentele obţinute de părţi sau de intervenienţi.
(9)Pentru a-şi îndeplini sarcinile, întreprinderea comună SNS colectează şi prelucrează mai multe categorii de date cu caracter personal, cum ar fi date de identificare, date de contact, date profesionale, date administrative, date primite din surse specifice, date privind comunicaţiile electronice şi privind traficul, precum şi date referitoare la caz, cum ar fi date obţinute din raţionamente şi din evaluări, date comportamentale, date privind performanţa şi conduita şi date referitoare la obiectul procedurii sau al activităţii sau prezentate în legătură cu acesta (4).
(4)În cazul controlului comun, datele trebuie prelucrate în conformitate cu mijloacele şi scopurile stabilite în acordul relevant dintre operatorii asociaţi, astfel cum sunt definiţi la articolul 28 din Regulamentul (UE) 2018/1725.
(10)Întreprinderea comună SNS, reprezentată de directorul său executiv, acţionează în calitate de operator de date.
(11)Datele cu caracter personal sunt stocate în condiţii de siguranţă într-un mediu electronic sau pe hârtie pentru a preveni accesul ilegal la acestea sau transferul lor către persoane care nu au dreptul legal de acces la aceste date cu caracter personal. Datele cu caracter personal prelucrate sunt păstrate doar atât timp cât este necesar şi adecvat în scopurile pentru care datele sunt prelucrate pentru perioada specificată în notificările privind protecţia datelor, în declaraţiile de confidenţialitate sau în evidenţele întreprinderii comune SNS.
(12)Prin urmare, în temeiul Regulamentului (UE) 2018/1725, întreprinderea comună SNS este obligată să furnizeze persoanelor vizate informaţii cu privire la aceste activităţi de prelucrare şi să le respecte drepturile în calitate de persoane vizate.
(13)Întreprinderea comună SNS ar putea fi obligată să reconcilieze aceste drepturi cu obiectivele anchetelor administrative, ale auditurilor, ale investigaţiilor şi ale acţiunilor în justiţie. De asemenea, aceasta ar putea fi obligată să asigure un echilibru între drepturile persoanei vizate şi drepturile şi libertăţile fundamentale ale altor persoane vizate. În acest sens, articolul 25 din Regulamentul (UE) 2018/1725 îi conferă întreprinderii comune SNS posibilitatea de a restricţiona, în condiţii stricte, aplicarea articolelor 14-22, 35 şi 36 din Regulamentul (UE) 2018/1725, precum şi a articolului 4 din regulamentul respectiv în măsura în care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevăzute la articolele 14-20.
(14)Normele interne trebuie să se aplice operaţiunilor de prelucrare relevante efectuate înainte de procedurile menţionate mai sus, pe durata acestor proceduri, pe durata monitorizării rezultatelor procedurilor, precum şi pe toată durata perioadei în care restricţia continuă să se aplice. De asemenea, aceste norme trebuie să fie aplicabile oricărui tip de asistenţă şi cooperare furnizat de întreprinderea comună SNS autorităţilor naţionale şi organizaţiilor internaţionale în afara propriilor sale anchete administrative.
(15)În cazurile în care se aplică aceste norme interne, întreprinderea comună SNS trebuie să furnizeze justificări, explicând de ce restricţiile sunt necesare şi proporţionale într-o societate democratică şi să respecte esenţa drepturilor şi a libertăţilor fundamentale.
(16)În acest cadru, întreprinderea comună SNS are obligaţia de a respecta, în deplină conformitate cu legislaţia şi orientările relevante, drepturile fundamentale ale persoanelor vizate în timpul procedurilor de mai sus, în special pe cele referitoare la dreptul de furnizare de informaţii, dreptul de acces şi de rectificare, dreptul de ştergere a datelor, dreptul de restricţionare a prelucrării datelor, dreptul de informare a persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal sau dreptul la confidenţialitatea comunicării, astfel cum sunt instituite prin Regulamentul (UE) 2018/1725.
(17)Cu toate acestea, este posibil ca întreprinderea comună SNS să aibă obligaţia de a restricţiona informarea persoanelor vizate şi alte drepturi ale persoanelor vizate pentru a proteja în special investigaţiile proprii, investigaţiile şi procedurile altor autorităţi publice, precum şi drepturile altor persoane legate de investigaţiile sale sau de alte proceduri.
(18)În cazul în care are în vedere aplicarea unei restricţii, întreprinderea comună SNS apreciază riscul pentru drepturile şi libertăţile persoanei vizate, în special în raport cu riscul pentru drepturile şi libertăţile altor persoane vizate şi cu riscul de anulare a efectului investigaţiilor sau al procedurilor întreprinderii comune SNS, de exemplu prin distrugerea probelor. Riscurile la adresa drepturilor şi libertăţilor persoanei vizate se referă în primul rând la riscurile reputaţionale şi la riscurile la adresa dreptului la apărare şi a dreptului de a fi ascultat, fără a se limita la acestea.
(19)Astfel, întreprinderea comună SNS poate restricţiona informarea în scopul protejării investigaţiei şi a drepturilor şi libertăţilor fundamentale ale altor persoane vizate.
(20)Pentru a garanta cea mai mare protecţie a drepturilor şi libertăţilor persoanelor vizate şi în conformitate cu articolul 44 alineatul (1) din Regulamentul (UE) 2018/1725, responsabilul cu protecţia datelor trebuie să fie consultat în timp util cu privire la restricţiile care pot fi aplicate şi să verifice dacă acestea respectă dispoziţiile prezentei decizii.
(21)Întreprinderea comună SNS trebuie să urmărească periodic faptul că se aplică condiţiile care justifică restricţiile şi, în cazul în care acestea nu mai sunt aplicabile, să ridice restricţia.
(22)Operatorul de date trebuie să informeze RPD în momentul amânării şi pe durata revizuirilor.
(23)Prezenta decizie se adoptă prin procedură scrisă, în conformitate cu articolul 10 din Regulamentul de procedură al Consiliului de administraţie,
DECIDE:
-****-
Art. 1: Obiect şi domeniu de aplicare
(1)Prezenta decizie stabileşte normele referitoare la condiţiile în care întreprinderea comună SNS, în cadrul general al procedurilor sale prevăzute la alineatul (2), poate restricţiona aplicarea drepturilor consacrate la articolele 14-22, 35 şi 36 din Regulamentul (UE) 2018/1725, precum şi la articolul 4, în conformitate cu articolul 25 din Regulamentul (UE) 2018/1725.
(2)Categoriile de date relevante pentru aceste proceduri cuprind date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, date privind comunicaţiile electronice şi privind traficul şi date referitoare la caz, cum ar fi datele obţinute din raţionamente, date comportamentale, evaluări, date privind performanţa şi conduita şi date referitoare la obiectul procedurii sau al activităţii sau prezentate în legătură cu acesta.
(3)În cazul în care întreprinderea comună SNS îşi exercită atribuţiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, ea trebuie să analizeze dacă se aplică vreuna dintre excepţiile prevăzute în regulamentul respectiv.
Art. 2: Menţionarea operatorului
Operatorul responsabil cu prelucrarea datelor este întreprinderea comună SNS, reprezentată de directorul său executiv.
Art. 3: Restricţii
(1)Întreprinderea comună SNS are posibilitatea de a restricţiona aplicarea articolelor 14-22, 35 şi 36 din Regulamentul (UE) 2018/1725, precum şi a articolului 4 din regulamentul respectiv în măsura în care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevăzute la articolele 14-20:
a)în temeiul articolului 25 alineatul (1) literele (b), (c), (f), (g) şi (h) din Regulamentul (UE) 2018/1725, atunci când desfăşoară anchete administrative, proceduri predisciplinare, disciplinare sau de suspendare în temeiul articolului 86 şi al anexei IX la Statutul funcţionarilor, precum şi când notifică cazuri la OLAF;
b)în temeiul articolului 25 alineatul (1) litera (h) din Regulamentul (UE) 2018/1725, atunci când se asigură că membrii personalului întreprinderii comune SNS pot raporta faptele în mod confidenţial, în cazul în care consideră că există nereguli grave, aşa cum se prevede în Decizia nr. 09/2023 a Consiliului de conducere al întreprinderii comune SNS privind normele interne referitoare la avertizarea în interes public;
c)în temeiul articolului 25 alineatul (1) litera (h) din Regulamentul (UE) 2018/1725, atunci când se asigură că membrii personalului întreprinderii comune SNS pot raporta faptele unor consilieri confidenţiali în contextul unei proceduri de hărţuire, aşa cum se prevede în Decizia nr. 13/2023 a Consiliului de conducere al întreprinderii comune SNS;
d)în temeiul articolului 25 alineatul (1) literele (c), (g) şi (h) din Regulamentul (UE) 2018/1725, atunci când efectuează audituri interne şi externe în legătură cu activităţile sau departamentele întreprinderii comune SNS;
e)în temeiul articolului 25 alineatul (1) literele (c), (d), (g) şi (h) din Regulamentul (UE) 2018/1725, atunci când acordă asistenţă altor instituţii, organe, oficii şi agenţii ale Uniunii sau beneficiază de asistenţă din partea acestora sau cooperează cu acestea în contextul activităţilor prevăzute la literele (a)-(d) de la prezentul alineat şi în temeiul acordurilor relevante privind nivelul serviciilor, al memorandumurilor de înţelegere şi al acordurilor de cooperare;
f)în temeiul articolului 25 alineatul (1) literele (c), (g) şi (h) din Regulamentul (UE) 2018/1725, atunci când acordă asistenţă autorităţilor naţionale din ţările terţe şi organizaţiilor internaţionale sau beneficiază de asistenţă din partea acestora sau cooperează cu aceste autorităţi şi organizaţii, la cererea lor sau din proprie iniţiativă;
g)în temeiul articolului 25 alineatul (1) literele (c), (g) şi (h) din Regulamentul (UE) 2018/1725, atunci când acordă sau beneficiază de asistenţă din partea autorităţilor publice ale statelor membre ale UE şi atunci când cooperează cu acestea, la cererea lor sau din proprie iniţiativă;
h)în temeiul articolului 25 alineatul (1) litera (e) din Regulamentul (UE) 2018/1725, atunci când prelucrează date cu caracter personal în documentele obţinute de părţi sau de intervenienţi în contextul procedurilor desfăşurate în faţa Curţii de Justiţie a Uniunii Europene;
i)în temeiul articolului 25 alineatul (1) literele (c) şi (h) din Regulamentul (UE) 2018/1725, atunci când prelucrează date cu caracter personal în cursul investigaţiilor efectuate de RPD în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725;
j)în temeiul articolului 25 alineatul (1) literele (c), (d), (g) şi (h) din Regulamentul (UE) 2018/1725, atunci când prelucrează date cu caracter personal în cursul investigaţiilor de securitate IT gestionate pe plan intern sau cu implicare externă (de exemplu, CERT-UE);
k)în temeiul articolului 25 alineatul (1) literele (c), (g) şi (h) din Regulamentul (UE) 2018/1725, atunci când prelucrează date cu caracter personal în cadrul gestionării granturilor sau al procedurii de achiziţii publice, după data-limită de depunere a cererilor de propuneri sau de depunere a ofertelor.
(2)Ca o aplicare specifică a scopurilor restricţiilor descrise la alineatul (1) de mai sus, întreprinderea comună SNS poate aplica restricţii în următoarele circumstanţe:
a)în legătură cu datele cu caracter personal care fac obiectul schimburilor de date cu serviciile Comisiei sau cu alte instituţii, organe, agenţii şi oficii ale Uniunii:
(i)în cazul în care serviciul respectiv al Comisiei, instituţia, organismul sau agenţia în cauză a Uniunii are dreptul de a restricţiona exercitarea drepturilor menţionate în temeiul altor acte prevăzute la articolul 25 din Regulamentul (UE) 2018/1725 sau în conformitate cu capitolul IX din regulamentul respectiv sau cu actele de înfiinţare ale altor instituţii, organisme, agenţii şi oficii ale Uniunii;
(ii)în cazul în care scopul unei astfel de restricţionări de către serviciul respectiv al Comisiei sau de către instituţia, organismul sau agenţia în cauză a Uniunii ar fi periclitat dacă întreprinderea comună SNS nu ar aplica o restricţie echivalentă în privinţa aceloraşi date cu caracter personal;
b)în legătură cu datele cu caracter personal care fac obiectul schimburilor de date cu autorităţile competente ale statelor membre:
(i)în cazul în care respectivele autorităţi competente ale statelor membre au dreptul de a restricţiona exercitarea drepturilor enumerate în temeiul unor acte menţionate la articolul 23 din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (5) sau în temeiul măsurilor naţionale de transpunere a articolului 13 alineatul (3), a articolului 15 alineatul (3) sau a articolului 16 alineatul (3) din Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului (6);
(5)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1).
(6)Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).
(ii)în cazul în care scopul unei astfel de restricţionări de către autoritatea competentă în cauză ar fi periclitat dacă întreprinderea comună SNS nu ar aplica o restricţie echivalentă în privinţa aceloraşi date cu caracter personal;
c)în legătură cu datele cu caracter personal care fac obiectul schimburilor de date cu ţări terţe sau cu organizaţii internaţionale, în cazul în care există dovezi clare că exercitarea drepturilor şi a obligaţiilor respective ar putea periclita cooperarea întreprinderii comune SNS cu ţări terţe sau cu organizaţii internaţionale în îndeplinirea sarcinilor sale. Înainte de a aplica restricţii în situaţiile menţionate la literele (a) şi (b) ale primului paragraf, întreprinderea comună SNS consultă serviciile Comisiei, instituţiile, organele, agenţiile, oficiile relevante ale Uniunii sau autorităţile competente ale statelor membre, cu excepţia cazului în care întreprinderea comună SNS are certitudinea că aplicarea unei restricţii este prevăzută într-unul dintre actele menţionate la literele respective.
(3)În cazul în care întreprinderea comună SNS restricţionează, total sau parţial, aplicarea drepturilor menţionate la alineatele (1) şi (2) de mai sus, aceasta ia măsurile prevăzute la articolele 5 şi 6 din prezenta decizie.
(4)Când persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unuia sau al mai multor cazuri specifice, sau solicită să aibă acces la o anumită operaţiune de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, evaluarea cererii de către întreprinderea comună SNS se limitează la aceste date cu caracter personal.
Art. 4: Specificarea garanţiilor
(1)Întreprinderea comună SNS instituie garanţii pentru a preveni abuzul sau accesul ilegal sau transferul de date cu caracter personal care fac sau ar putea face obiectul unor restricţii. Astfel de garanţii conţin măsuri tehnice şi organizatorice, iar dacă este necesar, sunt prezentate în detaliu în deciziile interne, în procedurile şi normele de punere în aplicare ale întreprinderii comune SNS. Garanţiile includ:
a)o definire adecvată a rolurilor, responsabilităţilor şi etapelor procedurale;
b)documentele pe suport de hârtie se păstrează în dulapuri securizate şi sunt accesibile doar personalului autorizat;
c)toate datele electronice se stochează într-o aplicaţie informatică securizată, conform standardelor de securitate ale întreprinderii comune SNS, precum şi în fişiere electronice specifice accesibile doar personalului autorizat. Se acordă niveluri corespunzătoare de acces în mod individual;
d)toate persoanele care au acces la date se supun obligaţiei de confidenţialitate;
e)monitorizarea corespunzătoare a restricţiilor şi o revizuire periodică a aplicării lor.
(2)Conform articolului 5 alineatul (3), garanţiile menţionate la alineatul (1) trebuie să facă obiectul unei reexaminări periodice.
(3)Datele cu caracter personal vor fi păstrate în conformitate cu normele aplicabile ale întreprinderii comune SNS privind păstrarea datelor, care urmează să fie definite în evidenţa privind protecţia datelor ţinută în conformitate cu articolul 31 din Regulamentul (UE) 2018/1725. Perioada de păstrare nu va fi mai lungă, în niciun caz, decât este necesar şi adecvat pentru îndeplinirea scopurilor în care sunt prelucrate datele.
Art. 5: Necesitatea şi proporţionalitatea restricţiilor
(1)Toate restricţiile prevăzute la articolul 3 din prezenta decizie trebuie să fie necesare şi proporţionale, având în vedere riscurile pentru drepturile şi libertăţile persoanelor vizate, şi să respecte esenţa drepturilor şi libertăţilor fundamentale într-o societate democratică.
(2)Dacă se are în vedere aplicarea unei restricţii, se efectuează un test de necesitate şi proporţionalitate, în baza prezentelor norme. Testul se efectuează, de asemenea, în cadrul reexaminării periodice, după ce se evaluează dacă motivele de fapt şi de drept pe care se întemeiază restricţia mai sunt aplicabile. Acesta este documentat printr-o notă de evaluare internă în scopul respectării principiului responsabilităţii, de la caz la caz.
Întreprinderea comună SNS elaborează rapoarte periodice privind aplicarea articolului 25 din Regulamentul (UE) 2018/1725.
(3)Restricţiile sunt temporare. Restricţiile continuă să se aplice cât timp motivele care le justifică rămân aplicabile, în special, în cazul în care se consideră că exercitarea dreptului restricţionat nu ar mai anula efectul restricţiei impuse sau nu ar mai afecta negativ drepturile sau libertăţile altor persoane vizate.
Întreprinderea comună SNS reexaminează aplicarea restricţiei din şase în şase luni de la adoptare, precum şi la încheierea anchetei, procedurii sau investigaţiei relevante. Ulterior, operatorul verifică necesitatea de a menţine restricţia o dată la şase luni.
(4)În cazul în care întreprinderea comună SNS impune, integral sau parţial, restricţii în conformitate cu articolul 3 din prezenta decizie, aceasta înregistrează motivele care stau la baza restricţiilor, temeiul legal în conformitate cu articolul 3 din prezenta decizie, inclusiv o evaluare a necesităţii şi proporţionalităţii restricţiei.
Această evidenţă şi, dacă este cazul, documentele care conţin elementele factuale şi juridice subiacente sunt consemnate. La cerere, ele sunt puse la dispoziţia AEPD.
Art. 6: Obligaţia de a informa
(1)Întreprinderea comună SNS include în notificările privind protecţia datelor declaraţii de confidenţialitate sau evidenţe în sensul articolului 31 din Regulamentul (UE) 2018/1725, publicate pe site-ul ei şi/sau pe intranet, prin care informează persoanele vizate cu privire la drepturile lor în cadrul unei anumite proceduri, precum şi informaţii referitoare la eventuala restricţionare a acestor drepturi. Informaţiile cuprind drepturile care pot fi restricţionate, motivele restricţionării şi posibila durată a acesteia.
Fără a se aduce atingere dispoziţiilor articolului 5 alineatul (4) din prezenta decizie, întreprinderea comună SNS, în cazul în care acest lucru este proporţional, informează, de asemenea, în mod individual, toate persoanele vizate considerate persoane interesate în operaţiunea specifică de prelucrare, cu privire la drepturile lor legate de restricţiile prezente sau viitoare, fără întârzieri nejustificate şi în scris.
(2)Atunci când întreprinderea comună SNS restricţionează, integral sau parţial, drepturile prevăzute la articolul 3 din prezenta decizie, ea informează persoana vizată în cauză cu privire la restricţia aplicată şi la principalele motive ale acesteia, precum şi la posibilitatea de a depune o plângere la AEPD sau de a introduce o cale de atac la Curtea de Justiţie a Uniunii Europene.
Furnizarea informaţiilor menţionate la alineatul (2) de mai sus poate fi amânată, omisă sau refuzată dacă ar anula efectul restricţiei în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.
Art. 7: Implicarea responsabilului cu protecţia datelor
(1)Întreprinderea comună SNS îşi consultă responsabilul cu protecţia datelor ("RPD"), fără întârzieri nejustificate, înainte şi în timpul perioadei în care operatorul restricţionează aplicarea drepturilor persoanelor vizate sau prelungeşte restricţia, în conformitate cu prezenta decizie. Operatorul acordă RPD acces la evidenţele care cuprind evaluarea necesităţii şi a proporţionalităţii restricţiei şi la orice document privind contextul factual sau legal.
(2)RPD îi poate solicita operatorului, în scris, reexaminarea aplicării restricţiilor. Operatorul informează RPD, în scris, cu privire la rezultatul reexaminării solicitate.
(3)RPD este implicat pe întreaga durată a procedurii. Operatorul comunică RPD momentul ridicării restricţiei.
(4)Întreprinderea comună SNS documentează în scris implicarea RPD în aplicarea restricţiilor, inclusiv informaţiile care îi sunt comunicate acestuia.
Art. 8: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal
(1)În cazul în care are obligaţia de a comunica o încălcare a securităţii datelor în temeiul articolului 35 alineatul (1) din Regulamentul (UE) 2018/1725, întreprinderea comună SNS poate, în circumstanţe excepţionale, să restricţioneze integral sau parţial această comunicare. Ea trebuie să consemneze într-o notă motivele restricţiei, temeiul juridic al acesteia, conform articolului 3 din prezenta decizie, şi o evaluare a necesităţii şi proporţionalităţii acesteia. Nota este comunicată AEPD în momentul notificării încălcării securităţii datelor cu caracter personal.
(2)În cazul în care motivele restricţiei nu se mai aplică, întreprinderea comună SNS comunică persoanei vizate încălcarea securităţii datelor cu caracter personal şi o informează cu privire la motivele principale ale restricţiei şi cu privire la dreptul său de a depune o plângere la AEPD.
Art. 9: Confidenţialitatea comunicaţiilor electronice
(1)În circumstanţe excepţionale, întreprinderea comună SNS poate restricţiona dreptul la confidenţialitatea comunicaţiilor electronice în temeiul articolului 36 din Regulamentul (UE) 2018/1725. Astfel de restricţii trebuie să fie conforme cu Directiva 2002/58/CE a Parlamentului European şi a Consiliului (7).
(7)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37).
(2)În cazul în care întreprinderea comună SNS restricţionează dreptul la confidenţialitatea comunicaţiilor electronice, aceasta informează persoana vizată, în răspunsul său la o eventuală cerere a persoanei vizate, cu privire la principalele motive pe care se bazează aplicarea restricţiei şi cu privire la dreptul său de a depune o plângere la AEPD.
(3)Întreprinderea comună SNS poate amâna, omite sau refuza furnizarea de informaţii privind motivele restricţiei şi dreptul de a depune o plângere la AEPD, atât timp cât aceasta ar anula efectul restricţiei. Evaluarea caracterului justificat al acestor măsuri se efectuează de la caz la caz.
Art. 10: Intrare în vigoare
Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
-****-
Adoptată la Bruxelles, 11 octombrie 2023.
Pentru Consiliul de administraţie Colin WILLCOCK Preşedinte |
Publicat în Jurnalul Oficial seria L din data de 14 noiembrie 2023